Der englische Begriff „Business Continuity Management (BCM)“ taugt wunderbar für einen Aufruf: Finden Sie einen deutschen Begriff, der nicht völlig sperrig und maximal unverständlich ist. Denn allerorts wird BCM mit „Betriebskontinuitätsmanagement“ übersetzt. Dabei ist die Beschreibung „Geschäftsfortführung im Notfall” viel passender – denn darum geht es wirklich: Was muss getan werden, um den Geschäftsbetrieb aufrecht zu erhalten, wenn ansonsten Chaos regiert?
Wir definieren BCM als einen Managementprozess, der Risiken, Bedrohungen und Schwachstellen identifiziert, die den laufenden Betrieb beeinträchtigen könnten. Die Geschäftsfortführung im Störfall bietet einen Rahmen für den Aufbau der organisatorischen Resilienz und der Fähigkeit zu einer effektiven und effizienten Reaktion. Mit diesen sieben Tipps machen halten Sie den Laden am Laufen.
1. Setzen Sie auf ein standardisiertes Verfahren
Business Continuity Management beinhaltet Strategien und Maßnahmen, um Prozesse so zu schützen, dass Schäden für Personal und Unternehmen möglichst geringgehalten werden können. Dabei ist es ratsam, auf ein standardisiertes Verfahren zu setzen. Anderenfalls können wichtige Aspekte vergessen werden. BCM-Best Practice-Verfahren und Leitfaden-Dokumente gibt es von einer Reihe von Berufsverbänden. Darunter das Bundesamt für Sicherheit (BSI), das Business Continuity Institute (BCI), das Disaster Recovery Institute International (DRI) und das Institute of Risk Management (IRM). Wir empfehlen Ihnen die Good Practice Guidelines (GPG) 2018 des BCI.
Die Good Practice Guidelines enthalten die Terminologie der ISO 22301:2012 und repräsentieren den aktuellen globalen Status Quo der Good Practice. Die GPG stützt sich auf akademisches, technisches und praktisches Wissen von BC-Fachleuten aus dem gesamten BCI-Mitgliederkreis. Die GPG unterliegt strengen Qualitätssicherungsprozessen, um sicherzustellen, dass die Guidelines weiterhin die höchsten Standards in der BC-Praxis weltweit fördern.
2. Informieren Sie sich über Risikomanagement
Business Continuity Management fungiert unter dem Dach des Risikomanagements, da es sich auch hier um einen ganzheitlichen Prozess handelt, der potenzielle Risiken identifiziert und deren Einfluss minimiert – allerdings mit dem Ziel, den Geschäftsbetrieb aufrechtzuerhalten. Die schlechte Nachricht: Völlig risikolos ist nichts. Die gute Nachricht: Risikomanagement ist klar definiert. Im ersten Schritt bedeutet es die Identifikation, Bewertung und Priorisierung von Risiken. Darauf folgt der koordinierte und wirtschaftliche Einsatz von Ressourcen, um die Wahrscheinlichkeit oder die Auswirkungen von unglücklichen Ereignissen zu minimieren, zu überwachen und zu steuern. Gleichzeitig sollen damit auch Chancen maximiert werden. Hier finden Sie mehr zum Thema Risikomanagement.
Mögliche Szenarien für Störfälle:
- Ausfall von Hardware, Software oder des Netzwerks
- Gebäudeausfall/Stromausfall
- Ausfall von Produktionsanlagen
- Hackerangriff (z.B. Ransomware, Phishing)
- Naturkatastrophen (z.B. Flutkatastrophe)
- Pandemie (COVID-19)
- Ausfall von Personal (Krankheit oder Kündigung)
- Ausfall von Partnern und Dienstleister
3. Überprüfen Sie regelmäßig Ihren Notfall- und Krisenpläne
Wie die übergeordnete Disziplin Risikomanagement, rückte auch das Business Continuity Management erst mit der COVID-19-Pandemie richtig in den Fokus. COVID-19 ist nach wie vor das größte pandemische Ereignis, das die meisten Organisationen je erlebt haben. Sie verändert die Art und Weise, wie die Gesellschaft, Organisationen und Menschen im Allgemeinen arbeiten. Nur wenige Organisationen waren auf eine Pandemie von solch globalem Ausmaß und monatelanger Dauer vorbereitet. Der typische Zeitraum, für den Organisationen Betriebsunterbrechungen planten, lag zwischen sieben und 30 Tagen.
Einige Unternehmen griffen auf Pläne aus dem Jahr 2009 zurück, die für das H1N1-Virus (Schweinegrippe) erstellt wurden. Diese Pläne sahen vor, dass die Mitarbeiter von der betroffenen Produktionsstätte an einen Ort in derselben geografischen Region verlegt werden. Problem: Niemand plante für einen vollständigen Lockdown inklusive Reiseverboten in manchen Regionen. Diese Situation machte selbst gut dokumentierte Krisenpläne für den Umgang mit der Belegschaft unwirksam.
4. Testen Sie Ihren Krisenplan regelmäßig
Üben Sie diesen Plan wie einen Feueralarm – mindestens einmal im Jahr. Das einzige Mittel, mit dem Organisationen die Effektivität von Wiederherstellungs- und Kontinuitätskontrollen bewerten können, ist das Testen oder das Durchleben von Notfällen und Krisen und die Ausführung von BC-Plänen. Die Organisationszertifizierung bietet keine Garantie dafür, dass sich die Organisation von einer tatsächlichen Katastrophe effektiv erholen wird. Sie bestätigt lediglich den Reifegrad eines BC-Plans und seines Managements. Testen Sie auch, wie gut Ihre Pläne mit den Schnittstellen anderer Disziplinen zum Erreichen einer hohen organisatorischen Resilienz harmonieren.
5. Planen Sie vorausschauend und kennen Sie Ihre notwendigen Services
Für etliche Unternehmen war BCM vor der Pandemie kein Thema. Kurz nach Ausbruch der Pandemie gab es eine Flut an Stellenausschreibungen – alle Welt wollte Risikomanagerinnen und -manager einstellen. Denn in der Pandemie wussten viele Unternehmen nicht, welche Produkte und Dienstleistungen für ihren Betrieb von entscheidender Bedeutung waren. Das Resultat waren hektische und chaotische Reaktionen. Die Aktionen verschwendeten Zeit und Geld. Ressourcen, die hätten gespart werden können, wenn die Unternehmen ihre Inhalte und eingesetzten Produktionsmittel gekannt und priorisiert hätten. Dazu gehört auch zu wissen, welche Services für die IT-Infrastruktur genutzt und zwingend notwendig sind. Hier helfen unter anderem eine Asset Analyse und eine Business Impact Analyse.
6. Ihr BCM-Programm und -Team sollte dezentral sein
Ihrem BCM-Programm und dem dazugehörigen Team sollten Vertreter aller Geschäftsbereiche und aller geografischen Regionen angehören. COVID-19 zeigte, wie herausfordernd allein die Zusammenarbeit mit den Gesundheitsorganisationen in unterschiedlichen (Bundes-)Ländern sein kann. Es gab viele widersprüchliche Informationen von verschiedenen Behörden zu verarbeiten. Gleichzeitig müssen Sie sich darauf vorbereiten, an externe Stakeholder in verschiedenen Ländern über die Verfügbarkeit von Produkten und Dienstleistungen, die zur Auslieferung erwartet werden, passend zu kommunizieren.
7. Machen Sie eine Business Impact Analyse (BIA), die Auswirkungen auf den Geschäftsbetrieb sichtbar macht
Die Ergebnisse einer Business Impact Analyse sind der Schlüssel für eine kontrollierte Reaktion auf eine Pandemie oder andere Krisen. Vor COVID-19 waren sich viele Organisationsleiter nicht bewusst, dass einige Geschäftsprozesse, Mitarbeiter, Einrichtungen, IT-Services und Lieferanten oder Dritte für die Aufgaben ihrer Organisation von entscheidender Bedeutung waren. Beispiel: In den ersten Tagen der Pandemie waren Mitarbeiterinnen und Mitarbeiter unentbehrlich, die teils in Wochenendarbeit die nötige Ausrüstig für Remote Work in die Homeoffices der Kolleginnen und Kollegen transportierten. Ein wichtiger Bestandteil der BIA ist ein Status der Mitarbeiter und Mitarbeiterinnen:
- Wer ist in welcher Phase für die Einführung von Remote Work unverzichtbar?
- Wie hoch ist die Mindestbesetzung für die einzelnen Geschäftsbereiche?
- Wer ist normalerweise onsite – könnte aber remote arbeiten, ist aber nicht ausgerüstet?
- Wer ist normalerweise onsite – ist aber für remote bestens ausgerüstet?
- Planen Sie für mehrere Geschäftsunterbrechungen, die gleichzeitig auftreten.
Erstellen Sie danach ähnliche Dokumentationen für Geschäftsprozesse, Einrichtungen, IT-Services und Lieferanten.
Gutes Business Continuity Management benötigt die Ressourcen Zeit, Personal und Know-how. Digitale Management Systeme können helfen, den Einsatz auf ein Minimum zu reduzieren. Gänzlich auf BCM zu verzichten, kann im Notfall dazu führen, den Laden wortwörtlich schließen zu müssen. BCM effektiv und effizient zu betreiben, wird Ihnen schon während der gesamten Krisenzeit deutliche Vorsprünge gegenüber der Konkurrenz bescheren.
